veDAO研究院：Unibot遭遇黑客入侵，Telegram用戶該如何保障資產安全？

2023-11-03 16:11:22

著名的 Telegram 交易工具 Unibot 成為了不斷擴大的一系列加密貨幣被攻擊事件中的最新受害者。

Unibot 承認在 10 月 31 日遭受了攻擊，原因是在新路由器中出現了代幣批准的漏洞。Unibot 官方發布公告稱：“在新路由器中出現了代幣批准的漏洞，Unibot 已暫停了新路由器以解決這個問題。由於新路由器的錯誤而造成的任何資金損失都將得到補償；用戶的密鑰和錢包是安全的，將在調查結束後發布詳細回應。”據悉該漏洞造成了超過 630, 000 美元的損失。本篇， veDAO 研究院將帶來該事件的具體消息，以及如何保護自己在 Telegram 上的資產安全的建議。

Unibot 被攻擊的始末

10 月 31 日，區塊鏈分析公司 Scopescan 通知 Unibot 的用戶，稱該平臺正在遭受一次正在進行但未被發現的攻擊事件，Unibot 的一個最新部署的合約上的漏洞導致了多個用戶的加密貨幣余額被清空。

隨後，Unibot 發布了文章开頭提到的公告，透露了被黑客攻擊的第一批細節，並確認了是由於新路由器中出現了代幣批准的漏洞導致遭受攻擊。

Scopescan 敦促用戶取消對被利用合約（0x126c9FbaB3A2FCA24eDfd17322E71a5e36E91865）的批准，並將資金轉移到新錢包，以配合 Unibot 和區塊鏈調查人員的持續調查。

Unibot 承諾將賠償所有因合同漏洞造成財務損失的用戶。此次攻擊從北京時間 31 日 12: 39: 23 开始，持續到了 31 日的 14: 09: 47 。在此期間，攻擊者執行了 22 次攻擊交易，總共有 42 種代幣通過路由器從 364 個受害者地址轉移到了攻擊者手中，漏洞利用者隨後出售了這些代幣，獲得總計 355.5 ETH。目前所有 355.5 ETH 已被轉入 Tornado.Cash。根據每周交易統計數據，其中包括 Joe（JOE）、UNIBOT 和 BeerusCat （BCAT）等加密貨幣。

UNIBOT 跌幅近 40%

雖然 Unibot 官方已承諾賠償損失，但受到黑客消息影響，UNIBOT 仍出現暴跌的情況。根據 CoinMarketCap 數據顯示，UNIBOT 事發後從 58.34 美元暴跌至最低 35.94 美元，最大跌幅高達 38% ，後續稍有回升，在 42 美元徘徊。值得注意的是，盡管恐慌性拋售量強勁，但巨鯨和聰明錢還是借機大量抄底吸納了更多 UNIBOT。

後續

11 月 1 日，Unibot 在 Telegram 發布公告稱，昨日的漏洞已得到完全解決，已恢復到舊路由器；Unibot 目前已經安全且能正常運行。然而受損用戶的資產退還需要一些時間：Unibot 目前正進行最後幾輪的模擬，意圖通過額外的措施，來確保徹底退還用戶的代幣。該公告稱，由於受到漏洞影響的代幣種類超過 100 種，因此退款過程比預期的要長。由於這些代幣在規模和流動性方面各不相同，所以退款最終將以不同代幣+ETH 的混合形式進行。

什么是 Unibot？

Unibot 是一個內置在 Telegram 的交易工具機器人，用戶在 Telegram 內與機器人以對話的形式發布交易指令就可完成鏈上代幣在 Uniswap 上的交易活動，如代幣兌換、跟單交易、限價訂單、隱私交易等。Unibot 在 Telegram 上因其易用的界面而備受歡迎。簡而言之，Unibot 允許用戶無需離开聊天 App 的情況下在切換不同代幣。然而，用戶也可以利用 MEV 保護交易並復制其他交易者的交易方案。該 App 的原生代幣在 8 月中旬曾飆升至驚人的 236 美元，其受歡迎的程度可見一斑。

Telegram 機器人

除了 Unibot，還有很多 Telegram 機器人，像 Mizar、 Banana Gun 、 Maestro 和 Wagie Bot 等都擁有很多用戶。Telegram 機器人是通過 Telegram 聊天程序運行的自動化程序。它們可以進行交易、向用戶提供市場數據、評估社交媒體上的情緒，並通過 Telegram 界面發起的執行命令與智能合約進行交互。這種類型的機器人已存在多年，但近年來它們隨着 Telegram 機器人代幣的出現而備受關注。

Telegram 機器人代幣是集成到 Telegram 機器人中的原生代幣，主要用於多樣化的交易功能，如執行 DEX 交易、跨錢包管理投資組合、流動性挖礦以及其他與 DeFi 相關的操作。這些代幣本質上允許用戶僅通過與 Telegram 界面的交互就能對接整個 DeFi。

今年 7 月末开始，這些代幣的受歡迎程度急劇上升，一些代幣的漲幅甚至超過了 1000% 。尤其是 Unibot 嶄露頭角之後，又湧現出了大量 Telegram 機器人代幣。目前，CoinMarketCap 上收錄了 73 個 Telegram 機器人代幣。

Unibot - 加密安全隱患的新問題

Unibot 這次的漏洞，意味着其智能合約存在權限缺陷，可能導致用戶的代幣被移動到指定限制之外或進行未經授權的訪問，從而引起了人們的擔憂。

在將被盜走的資產轉移到 Tornado.Cash 之前，攻擊者首先將它們轉移到了去中心化交易所 Uniswap。在加密世界中，Tornado.Cash 經常成為引人注目的黑客攻擊和漏洞利用的中心。該協議开發團隊的幾位成員在今年 8 月被指控協助黑客洗錢，涉及的金額超過了 10 億美元，其中包括來自朝鮮的企業。與逮捕和隨後的處罰之前相比，使用該隱私協議的人數減少了 90% 。

在 Unibot 遭受襲擊之前的一周，一些 LastPass 用戶報告稱，他們在加密貨幣中損失了 440 萬美元。安全專家指出，這可能是由於去年 12 月的一個 LastPass 漏洞，盡管在過去的十個月裏頻繁的漏洞讓許多人感到困惑，因為它們似乎沒有規律可循。

加密貨幣領域的另一個主要弱點是能夠讓用戶在不兼容的網絡之間轉移資產的區塊鏈間的跨鏈橋。依賴於 Optimism 的借貸平臺 Exactly 在今年 8 月被盜，損失達 700 萬美元。像 Axie Infinity 的 Ronin 跨鏈橋在 2022 年 3 月被黑客利用，造成了約 6.22 億美元的損失；此外還有 Wormhole 加密貨幣平臺的漏洞事件，黑客從中竊取了驚人的 3.2 億美元。

這些事件不斷地提醒人們，在加密貨幣持續向主流市場發展的過程中，這些安全問題是無法回避的困難。

如何在 Telegram 上保護資產安全

Telegram 已經成為加密貨幣社區中最常用的消息傳遞程序之一。每個重要的區塊鏈項目和加密貨幣社區都有一個 Telegram 帳戶，他們在那裏創建頻道和群組，以鼓勵互動和社區建設。Telegram 的廣泛使用使它成為了加密貨幣愛好者了解更多信息、討論他們喜愛的項目的寶貴工具，但它也引來了黑客的關注。

我們來梳理下在 Telegram 上有哪些常見的加密貨幣詐騙方式，以及如何保護資產安全：

釣魚和消息詐騙

在 Telegram 上，釣魚採取“Smishing”（短信釣魚）的形式。其目的是提取敏感數據，通常是針對高知名度人士的“鯨魚”或“魚叉式釣魚”攻擊。

在 Telegram 上的釣魚詐騙，通常是通過發信息來進行釣魚。有廣撒網式的、向盡可能多的人發送惡意欺騙信息。更多的是目標為提取敏感數據的“魚叉式網絡釣魚（spear phishing）”和“鯨釣攻擊（whaling）”，用於針對組織和知名人士。

平臺外詐騙

這些詐騙會引誘用戶離开平臺並點擊鏈接，從而可能誘騙用戶共享個人信息或下載惡意軟件。

模仿詐騙

詐騙者創建假的 Telegram 頻道或群組，模仿真實的頻道，使用戶相信他們是真正社區的一部分。你可以通過在設置中啓用僅限管理員發布並限制誰可以將你添加到頻道，來驗證頻道的真實性。

冒充加密專家

Telegram 上的詐騙者冒充加密專家，並承諾能提高你的收益。他們通常在收集用戶的登錄信息後就立馬消失。

拉高出貨計劃

這些詐騙活動宣傳可能對價格產生影響的事件，敦促用戶進行投資或出售。在私人消息中接收陌生投資建議時務必要小心。

Telegram 機器人

盡管 Telegram 機器人可能很有用，但一些黑客創建了假的機器人。避免那些急於讓您採取行動的機器人，檢查它們的電話號碼、發布的內容，永遠不要分享敏感信息。

技術支持詐騙

詐騙者會在 Telegram 頻道中冒充支持人員。切勿與所謂的支持人員分享機密信息，無論他們是機器人還是真人。

虛假贈品

要警惕那些要求你提供銀行詳細信息，或是要求你支付費用以領取獎品的贈品，因為這些很可能是詐騙。

由於 Telegram 上幾乎囊括了絕大多數的加密貨幣項目，各種社群多如牛毛，因此騙子將其視為一個吸引人的平臺。因此，避免泄露個人信息、匯款或點擊可疑鏈接至關重要。

關注我們

veDAO 是一家由 AI 驅動的web3趨勢追蹤&智能交易一站式平臺，將大數據分析所呈現出的市場趨勢與交易深度結合，致力於打造更適合Web2和Web3用戶买賣投資的web3 AI 交易所。

veDAO 擁有行業領先的由鏈上分析&情緒指標構成的 AI 大語言模型，為用戶提供主動型數據支持，結合智能、快捷、安全、實時監控的 AI 交易功能，截止目前，平臺重度使用用戶已超過 37000 人，關聯 22000+Web3垂直行業 Twitter KOL，與 180+專業機構組成 veDAO 專家委員會，平臺項目庫超 8300+個，且有 220+星探與 veDAO 一起不斷增加Web3項目。

veDAO 以兩周一次版本更新的速度不斷升級，決心搭建起Web2通往Web3的橋梁，成為未來Web2和Web3用戶查項目、找熱點、看趨勢、一級投資、二級交易的首選平臺。

?投資有風險，項目僅供參考，風險請自擔哦?